工业互联网+

安全事件 | 山西某火电厂燃料系统被植入非法程序事件


发布时间 2019-02-20   来源:电力安全生产  



一、燃料“三大项目”异常事件的发现


2018年8月8日0时38分,山西某电厂燃料“三大项目”系统进煤发卡室值班员在监盘过程中,通过监控画面发现有两人打开远端排队系统的控制箱柜门(该控制箱位于厂门外500米处)。值班员立即向上级汇报,电厂安排两名采样值班员到事发地点检查,发现控制柜被暴力打开,网络交换机上网线被拔出,交换机端口临时接入一个无线路由器。采样值班员拍照后将无线路由器拆除,并将排队系统网线插回交换机,值班人员将情况上报电厂值班领导。


1时16分,运维技术人员到达燃料“三大项目”信息机房,对系统后台进行检查,发现系统内存在非法程序,将非法程序其停运,同时将非法程序进行备份、日志进行备份。1时30分技术人员检查系统无异常正常运行后通知值班人员。值班人员将事件处理经过报值班领导。值班领导汇报电厂总经理后启动电厂信息安全应急预案。同时电厂通知“三大项目”研发单位人员迅速到厂配合事件调查。


二、异常事件的应对和处置情况


2018年8月8日早8点,电厂总经理接照集团公司《网络安全责任制管理办法》及《网络安全事件调查规程》第一时间组织业务、技术、安全、监察、法务等部门人员成立调查组,迅速开展事件调查。同时,燃料质检业务部门和技术部门人品全面排查“三大项目”系统,采取技术防控措施,保证系统安全稳定运行。同时,向当地公安机关报案,并配合调查取证。


县公安局接到电厂报案后,组织刑警、网监等人员立刻出警,于当日9时20分赶到现场,警方要求在案件未查清之前,相关单位、人员一律严格保密,禁止案情外泄。随后刑警支队对案发地点全面排查,调阅案发时间段厂区及周边道路监控画面,详细收集现场遗留的指纹等相关线索,全面排查周边宾馆、饭店以及高速路口嫌疑人员和车辆。


网监人员对“三大项目”系统服务器进行全盘镜像处理,对系统运行环境进行全面扫描,并提取关键数据进行分析研究。接着,在征得公安部门许可后,电厂通过电话方式向山西分公司作了事件汇报。


燃料“三大项目”研发单位技术总监和专家于8月8日下午到厂,对“三大项目”核心服务器的日志报表、应用文件、硬盘外设等进行全面检查,通过SQL语句对海量数据进行对比分析, 查找系统被破坏的蛛丝马迹。


经过一个星期的分析研究,公安局网监人员和研发单位专家一致认为:在事件发生前后,“三大项目”系统煤质、 煤样、采样坐标等关键数据的分布没有规律性和指向性的变化,该非法活动还处在初步测试阶段,没有对系统产生实质性破坏。


8月23日,公安局刑警支队将嫌疑人抓获,嫌疑人陈某以及另4名无业人员。据陈某交代,其植入在“三大项目”系统中的非法程序尚处于测试阶段,企图通过测试及后续改进完善,对系统测算参数进行修改,进而非法牟利。


(来源:电力安全生产)


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、软件组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。

等保2.0
等保2.0

等保2.0《信息安全技术网络安全等级保护基本要求》。确定内容为:通用安全要求,云计算扩展要求、移动互联网扩展要求、工业控制网扩展要求、物联网扩展要求,这意味着等级保护的目标对象从单一的信息系统扩展到了整个网络空间。并且提出了一中心三防护的安全要求。